คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล : ความหวังของสังคมไทย
อย่างไรก็ตาม ผู้เขียนเชื่อว่าผู้ประกอบการรายใหญ่ของประเทศ ภาคอุตสาหกรรมต่าง ๆ และกลุ่มธุรกิจที่อยู่ภายใต้การกำกับดูแลหรือการอนุญาตของหน่วยงานรัฐ เช่น บริษัทจดทะเบียนในตลาดหลักทรัพย์ กลุ่มธุรกิจสถาบันการเงิน กลุ่มธุรกิจประกันภัย กิจการโทรคมนาคม หรือ รัฐวิสาหกิจต่าง ๆที่เป็นผู้ใช้ข้อมูลส่วนบุคคลรายใหญ่ของประเทศที่มีฐานลูกค้าหรือผู้ใช้บริการจำนวนมากต่างได้รับทราบและตระหนักถึงความสำคัญของการสร้างธรรมภิบาลของการใช้ข้อมูลส่วนบุคคลภายในองค์กร ให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ เป็นอย่างดี รวมถึงเข้าใจถึงความจำเป็นของประเทศไทยในการที่จะต้องมีการบังคับใช้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ ให้สอดคล้องกับมาตรฐานสากล เพื่อให้ประเทศไทยเป็นประเทศผู้นำเข้าข้อมูลได้โดยที่ไม่มีข้อจำกัดทางการค้า หรือถูกทำให้สูญเสียความสามารถในการแข่งขันหรือโอกาสต่าง ๆ อันเนื่องมาจากสภาพไม่พร้อมใช้บังคับของพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลฯ
ในโอกาสที่มีการแต่งตั้งคณะกรรมการที่มีอำนาจหน้าที่ตามกฎหมายครบถ้วนแล้ว ผู้เขียนในฐานะเจ้าของข้อมูลส่วนบุคคลคนหนึ่งที่กฎหมายฉบับนี้ได้บัญญัติรับรองและยืนยันสิทธิในความเป็นส่วนตัวเอาไว้ จึงขอฝากความหวังไปยังคณะกรรมการทุกท่าน ให้เร่งดำเนินการเพื่อสร้างความเชื่อมั่นต่อการที่ประเทศไทยจะมีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลไปในทิศทางเดียวกับหลาย ๆ ประเทศที่ได้นำ GDPR หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของสหภาพยุโรปมาเป็นต้นแบบในการตรากฎหมาย
โดยเฉพาะในการเป็นกฎหมายที่คุ้มครองสิทธิของเจ้าของข้อมูลส่วนบุคคลจากการกระทำที่ไม่ชอบด้วยกฎหมาย ไม่เฉพาะเพียงแต่กรณีที่เกิดเหตุการณ์ข้อมูลรั่วไหลเท่านั้น แต่ยังรวมถึงการมีฐานทางกฎหมายในการประมวลผล การใช้ข้อมูลให้น้อยที่สุด สอดคล้องกับวัตถุประสงค์ที่ชอบด้วยกฎหมายและเพียงเท่าที่จำเป็นเท่านั้น และประการสำคัญ ความโปร่งใส ในการประมวลผลข้อมูลส่วนบุคคล
แต่การมีคณะกรรมการอาจไม่ใช่ แก้วสารพัดนึก ที่จะมาช่วยสร้างและเปลี่ยนพฤติกรรมการใช้ ข้อมูลในระบบธุรกิจได้ภายในระยะเวลาอันสั้น คณะกรรมการเองก็จำเป็นอย่างยิ่งที่ต้องให้ แนวทาง หรือ Guideline ที่ชัดเจนแก่ผู้เกี่ยวข้องว่าอะไรทำได้ หรือทำไม่ได้
เพราะต้องยอมรับว่าแม้แต่ในสหภาพยุโรปที่มีการบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคลในระดับสหภาพมาตั้งแต่ปี 1995 ก่อนจะมาปรับปรุงครั้งใหญ่ในปี 2016 ก็ยังมีข้อถกเถียงและการตีความต่าง ๆ จำนวนมากเกี่ยวกับสภาพการบังคับใช้ของกฎหมาย พฤติกรรมต่าง ๆ ที่เกี่ยวเนื่องกับการใช้ข้อมูล
เอาแค่ว่า อะไรบ้างคือ ความยินยอม ที่ชอบด้วยกฎหมาย ใครคือ ผู้ควบคุมข้อมูลส่วนบุคคล ใครคือ ผู้ประมวลผลข้อมูลส่วนบุคคล หรือ ข้อมูลส่วนบุคคล หมายความรวมถึงอะไรบ้าง ยังต้องมีการตีความกันยืดยาว มีการออก Guideline จำนวนมากจากหน่วยงานบังคับใช้กฎหมายเพื่อสร้างกติการ่วมกันในการประมวลผลข้อมูลส่วนบุคคล
ดังนั้น ประเทศไทยที่ไม่เคยมีประสบการณ์ในการบังคับใช้กฎหมายลักษณะนี้เลยยิ่งมีความต้องการที่จะได้ข้อแนะนำและทิศทางจากคณะกรรมการอย่างมาก
ผู้เขียนจึงเห็นว่า ภารกิจแรก ๆ ที่มีความสำคัญเป็นอันดับต้น ๆ ของคณะกรรมการ น่าจะมีดังนี้
(1)สร้างความเชื่อมั่นต่อสาธารณะว่ากฎหมายจะถูกใช้บังคับในวันที่ 1 มิถุนายน 2565 อย่างเป็นธรรมและไม่มีเหตุผลและความจำเป็นที่จะต้องเลื่อนการบังคับใช้กฎหมายอีกต่อไป เพราะผู้ที่ไม่ปรับตัวก็จะยังคงไม่ปรับตัวต่อไป เนื่องจากเชื่อว่ากฎหมายจะไม่ใช้บังคับ (ท่านต้องทำลายความเชื่อนี้)
(2)เร่งสร้างความชัดเจนในการบังคับใช้กฎหมาย โดยเฉพาะการมีกฎหมายลำดับรองที่จำเป็นต่อการดำเนินงานของภาคส่วนที่เกี่ยวข้อง
(3)สร้างความเชื่อมั่นและความตระหนักรู้ถึงสิทธิของเจ้าของข้อมูลส่วนบุคคล โดยเฉพาะการให้ความรู้แก่กลุ่มผู้บริโภคและภาคประชาสังคม
(4)ในช่วงที่อาจจะยังขาดความชัดเจนในบางเรื่อง Enforcement Priority ของคณะกรรมการจะไปในทิศทางไหน เช่น องค์กรอาจจะมี Privacy Notice แล้วแต่ยังอาจจะไม่ถูกต้องครบถ้วน มีการปรับปรุงกระบวนการทำงานแล้ว แต่ก็อาจจะยังมีบางส่วนหรือหลายส่วนที่อาจจะไม่สมบูรณ์ กรณีแบบนี้ หากมีการร้องเรียนคณะกรรมการจะดำเนินการอย่างไร เป็นต้น
(5)จัดตั้งสำนักงานฯ ตามเงื่อนไขที่กฎหมายกำหนดเพื่อให้มีหน่วยธุรการซึ่งจะเข้ามาผลักดันและส่งเสริมการทำงานของคณะกรรมการ
ระบบเศรษฐกิจดิจิทัลของประเทศไทยจะไปในทิศทางไหน การคุ้มครองสิทธิในความเป็นส่วนตัวของพลเมืองจะเป็นไปตามแนวทางสากลได้หรือไม่ ขึ้นอยู่กับกรรมการทุกท่านในการสามารถสร้างสมดุลของการบังคับใช้กฎหมาย ระหว่าง free flow of data และ right to data privacy ซึ่งไม่ใช่เรื่องง่าย แต่คือสิ่งที่ทุกท่านอาสามาทำให้สำเร็จ.
Ref: https://www.bangkokbiznews.com/columnist/983518
คอลัมน์ : Tech, Law and Security
ศุภวัชร์ มาลานนท์
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าธนบุรี
พรชัย วิสุทธิศักดิ์
มหาวิทยาลัยเชียงใหม่
สุทธิชัย งามชื่นสุวรรณ
มหาวิทยาลัยสงขลานครินทร์
MakeWebEasy